纵观5起大规模软件供应链攻击事件 安全盲区在这几方面

在过去的几年里,黑客已经从只针对公司变成了针对企业的软件供应链。脆弱的软件供应链已经逐渐成为黑客获取有价值商业信息的方法。Gartner 的一项研究预测,到 2025 年,45% 的公司将遭受供应链攻击。增强软件安全,在软件开发期间通过代码安全等测试,从源头减少软件中的缺陷及漏洞,有助于增强软件自身抵御网络攻击的风险,也有助于提高软件供应链安全性。

供应链攻击可以通过各种方式发生,无论是通过注入企业软件的恶意代码,还是通过公司使用的软件中的漏洞。为了降低这种风险,公司应该了解用于执行攻击的方法并了解公司的盲点。

本文将介绍最近发生的5起软件供应链攻击,以及第三方合作伙伴如何对公司构成安全风险。

什么是软件供应链攻击?

CISA(美国网络安全和基础设施安全局)将软件供应链攻击定义为:“当网络威胁行为者侵入软件供应商的网络,并在供应商将软件发送给客户之前使用恶意代码破坏软件时,就会发生这种攻击。”被泄露的软件会泄露客户的数据或系统。”

软件供应链包括软件供应商,以及开发人员从中提取代码的任何开源软件和公共存储库。还包括可以访问企业数据的任何服务组织。总的来说,所有这些供应商都成倍地增加了潜在攻击面。

软件供应链攻击尤其危险,因为软件供应链是黑客的放大器。这意味着,当一个供应商受到影响时,黑客可以潜在地接触到他们的任何客户,这比他们攻击单个目标公司的影响范围更大。

根据 CISA 的说法,造成危险的主要原因有两个:

1.第三方软件产品通常需要特权访问;

2.通常需要在供应商的网络和客户网络上的供应商软件之间进行频繁的通信。

攻击者利用特权访问和特权网络访问通道作为他们的第一个访问点。根据可用访问级别的不同,攻击者可以轻松地针对组织的许多设备和级别。医疗保健等一些行业尤其容易受到攻击,因为它们拥有大量受严格合规法规和法律约束的患者数据。

五次主要的供应链攻击

软件供应链攻击越来越受到公众的关注,因为它们可以对公司及其声誉造成严重损害。例如,Log4j漏洞展示了公司依赖第三方软件是多么容易受到攻击。其他备受瞩目的攻击,如SolarWinds SUNBURST攻击和Kaseya VSA (REvil)攻击,也提醒人们,供应链攻击的破坏性多么大。

SolarWinds SUNBURST 后门

2020年12月13日,SUNBURST后门首次披露。该攻击利用流行的 SolarWinds Orion IT 监控和管理套件来开发木马更新。

后门针对运行 Orion 软件的服务,并针对美国财政部和商务部。还指出,财富 500 强和电信公司、其他政府机构和大学也可能受到影响。

在这种情况下,公司的主要盲点是应用程序服务器及其软件更新路径。针对此类攻击的最佳行动方案是监控设备。

报告显示,命令控制 (C&C) 域 avsvmcloud[.]com 早在 2020 年 2 月 26 日就注册了。与其他类型的供应链攻击一样,SUNBURST 后门利用一段时间的休眠来避免将异常行为归因于软件更新。

SUNBURST后门尤其值得关注的是,专用服务器也成为攻击目标。通常,这些类型的服务器的监控频率较低。防止SUNBURST后门式攻击建议对公司网络的所有级别进行主动监控。

Log4Shell / Log4j 漏洞利用和开源软件漏洞

另一种令人担忧的漏洞类型是开源软件漏洞。Log4Shell / Log4j 漏洞利用了基于 Java 的 Apache 实用程序 Log4j。该漏洞允许黑客执行远程代码,包括完全控制服务器的能力。Log4Shell 漏洞利用是一个0day漏洞,这意味着它在软件供应商意识到之前就被发现了。由于该漏洞利用是开源库的一部分,因此运行 Java 的 30 亿或更多设备中的任何一个都可能受到影响。

解决Log4Shell 漏洞利用和类似漏洞需要拥有网络中所有联网设备的完整清单。这意味着利用系统来发现设备、监控 Log4Shell 活动并尽快修补受影响的设备。

Kaseya VSA 攻击和托管服务和软件勒索软件

利用供应链攻击的主要目的是利用供应商漏洞并攻击下游目标。这正是勒索软件组织 REvil 在劫持 Kaseya VSA 时所做的,Kaseya VSA 是一个用于 IT 系统及其客户的远程监控和托管服务平台。

通过攻击 Kaseya VSA 中的漏洞,REvil 能够将勒索软件向下游发送给多达 1,500 家 Kaseya VSA 客户的公司。

在这种情况下,盲区是面向互联网的设备、远程管理下的设备和托管服务提供者的通信路径。这个问题是由允许供应商访问内部IT系统引起的。避免出现这种情况的做法是监视托管服务提供者利用的通道。此外,行为分析应跟踪任何意外行为并对其进行分析以阻止勒索软件。

Capital One攻击和云基础设施安全漏洞

并非所有攻击都是由黑客组织精心策划的。Capital One经历了一次大规模的数据泄露事件,一名亚马逊员工利用亚马逊网络服务(AWS)的内幕信息窃取了1亿个信用卡信息。这次攻击暴露了利用云基础设施的危险。

这种攻击的主要盲区是,利用云服务提供商需要客户对其供应商给予极大的信任。这也意味着如果云提供商受到威胁,企业数据也可能受到威胁的风险。要对抗这些类型的攻击,关键是对企业服务进行行为监控,并确保网络边缘的安全。

自带设备 (BYOD) 漏洞和供应商设备

2022年3月,全球知名的网络安全公司 Okta 透露,其供应商之一 (Sitel) 曾因一名员工在笔记本电脑上提供客户服务功能而遭到破坏。尽管违规的程度有限,仅访问了两个 Okta 身份验证系统,但没有进行任何客户帐户或配置更改。尽管如此,分包商设备和自带设备策略代表了攻击者的额外攻击媒介。

2022年3月,全球知名网络安全公司Okta透露,其供应商之一 (Sitel) 曾因一名员工在笔记本电脑上提供客户服务功能而遭到破坏。此次入侵的范围有限,仅访问了两个Okta认证系统,没有客户账户或配置更改。

每次添加其他设备时,网络上未受管理和未经批准的设备都会增加潜在的攻击面。公司缺乏关于连接了哪些设备、它们正在运行什么软件以及采取了哪些预防措施来防范恶意软件的信息。将这一领域的风险降至最低需要创建资产清单并限制对这些恶意设备的访问。最后,网络监控和行为分析可用于阻止攻击。

文章来源:

www.cybersecurity-insiders.com/5-common-bl…